Вот такая петрушка

При этом на компьютере к которому нет доступа с источника.

Кстати самый простой способ проверить ssh

А вообще iptables настраивается должным образом, ну или fail2ban на крайняк

Это сообщение отредактировал Den4ik58 - 17.02.2022 - 13:50

Все проще, на отдельном сервере поднимается ftp с правами только на запись, и все.

простым бат-файлом на вин машине меняешь пути к базе в конфигфайле - и паника на весь мир обеспечена. поди и сама адынесия еще поломанная со всех сторон стоит)

слишком сложно жеж) проще на серве с 1с поднять ftp и с него собирать скриптом на хранилище и сортировать и при необходимости восстанавливать.

Это сообщение отредактировал smashteam - 17.02.2022 - 13:35

ТС, ау ! Рассказывать, как доступ к серваку организован будешь, не ?

Да нечего пока рассказывать.
Наружу смотрел порт ссх с сертификатом и внц еще был.
Организовано прямое подключение к серверу через тонкого клиента, не web.
Есть подозрение что порт на консоль кластера тоже наружу смотрел, и был не запаролен, но пока ответа на этот вопрос нет

Но даже если через консоль, то как минимум от постгре надо пароль знать чтоб залить конфу свою. Вобщем пока вопросов больше чем ответов


Это сообщение отредактировал Den4ik58 - 17.02.2022 - 13:55

VNC "в мир" торчал? Кроса-а-а-авчеги !
Собсно, думаю , дальше можно не копать.

об этом и спрашиваю КАК ИМЕННО ?

Нетъ.
Боевой сервер никуда не должен лазать, ибо если он куда-то лезет, значит хранит адрес и пароли этого "куда-то". Дальше - дело техники

Вотъ !
Бэкапер должен забирать с боевого, а не боевой пихать бэкаперу.
Заодно создаётся обманка для хакера. Хакер видит на боевом серваке папку "бэкап", грохает её и успокаивается. А то что кажную ночь с этой папки бэкап втихую кто-то забирает, хакер и не знает.

Тока не ftp а rsync

Это если пароль тупо сбрутили.
А если залезли через какую-нить ошибку - нихрена в логе не будет

как тебе iptables поможет защитить ошибки в демонах ?

Ну на крайняк - да

Это сообщение отредактировал Skrut - 17.02.2022 - 14:46

0.01 биток это более чем по божески, у меня знакомые в прошлом году на 100 к. Р. встряли с шифровальщиком...

Размещено через приложение ЯПлакалъ

он, наверное, имел ввиду обычный .zip, но он вообще не паролится от слова совсем :)

У злоумышленника ящик на bk.ru. При желании можно его за яйца схватить, при участии правоохранительных органов. Затребовать логи, посмотреть с каких айпишников он на свой ящик заходил. Думаю, что какой-то школьник решил по-легкому деньжат срубить, судя по тому, что он ящик на площадке mail.ru использует.

Это сообщение отредактировал flaitsman - 17.02.2022 - 14:52

Этой ерундой с анимированными педиками на экране лет 5 никто не занимается.
Взломали 1С, торчащую в интернет и поменяли страницу приветствия. Надпись "postgres" намекает, что админ должен быть чуточку компетентнее эникея, скорее будут растягивать анус 1с-программисту, въебавшему себе пароль 123. Чистить бд от данных так, что б она потом хотя бы запустилась довольно геморно, тут какой то фокус есть, либо урка совсем не ценит свое время. Поднять из бекапа дело 10 минут, либо 7z можно забрутить за считанные дни используя ресурсы ГПУ.
Платить выкуп - это как второй раз очко подставить, таким товарищам надо смириться, они не прошли эволюционный отбор.

Ну будут там сингапурские ip, дальше-то что?

cat /etc/mtab
ls -al /media
df -h
... в чем проблема тут узнавать-то?

Это сообщение отредактировал kazanec - 17.02.2022 - 15:13

Или оттуда пересылает письма ещё на 10 ящиков. А те ещё на 10

Размещено через приложение ЯПлакалъ

( мечтательно ) эх, вот если б реальную бабу можно было б заархивировать, и доставать по мере надобности

одмину жопу развальцевать. ACL должен быть настроен так, что только пользователь, от которого стартуют процессы 1с (или mssql) имеют права на rw в директории, где лежат баз, еще один пользователь (если файловая БД), от имени которого стартует сервис резервного копирования. Собственно, дело 30 минут. Резервное копирование критов, вроде директории юзверей, аналогично, в директорию, куда сыпятся резервные копии - юзверю на чтение, службе резервного копирования - rw, больше никому, даже админу - если надо, он сам переназначит права. права администратора забрать у пользователя и не отдавать под пытками гендира, или под расписку о том, что оба проинформированы о возможных рисках.
На моей памяти, такой факап был один раз у прораба, лет 17, но это не страшно, он там все равно, только порнуху смотрел в бытовке:)

Это сообщение отредактировал s083r - 17.02.2022 - 15:52

У знакомого сервак ломанули по белому IP, никто по ссылкам не ходил, просто дыры были в сервере

Скорее всего запустили обработку с вирусом.

Смори у кого есть админский доступ к базе, кто может обработки внешние запускать. Скорее всего это обработка.

Наиболее логичный вариант. Права админа + внешняя обработина. Все туннели и пароли на кластер/базу в пролете - для системы это законное подключение пользователя. А что пользователь базу снес - так у него права есть.

Причем тут антивирус? Тупо проеб данных для входа. И "хакер" просто архивнул нужные файлы с паролем. На одной из работ у клиента так лоамнули разраба 1с, а у того на почте все данные для входа на сервер. Ну и платили около 70к рублей запароль от винрара

И заменил конфигурацию, очевидно.. Окошко-то из 1С выходит.

Охренеть диагност
Пост и комментарии лучше читать, прежде чем писать гениальные комментарии

Если админ грамотный, такая хрень у него никогда не произойдёт.

Размещено через приложение ЯПлакалъ

Админ настроил сервер, субд и платформу и отдал программисту, потому что дальше не его работа, тот напилил пользователей с полными правами без нормальных паролей, потому что ему так удобнее и все заверте...
Я, как админ, никогда не полезу дальше окна логина, мне эта 1с не всралась, пусть бухи прогера дрочат по своим интимным вопросам. Админ долбоеб, если ломанули сервак, программист долбоеб - если ломанули базу, ну а если они оба сочетаются в одном лице, то круг подозреваемых сужается до единственного персонажа)